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Beschrelbung 

[0001] Die vorliegende Erfindung betrifft ein System 
und ein Verfahrenzurautomatislerten Kontroile des Pas- 
sierens einerGrenze 5 
. [0002] Grenzkontrollen z B. an Flughafen, aber auch 
im Bereich der Land- und Fahrverkehre sind fQr den 
grenzuberschrertenden Personenverkehr zeitkritisch 
Gleichzeitig ist der Aufwand der Kontrollbehorden - unter 
anderem wegen des Schengener Abkomnnens in den ?o - 
vergangenen Jahren uberproportional zur Anzahl der 
Reisenden gestiegen Dieseit Jahren steigende Mobilitat 
der Menschen und wacfisende Passaglerzahlen im in- 
ternation^en FiugverkehrfQhren zu neiien Anforderun- 
gen im Personenbeforderungswesen Andererseits sind - 
die personellen und finanziellen Ressourcen derstaatli- 
chen Kontroilbehorden, der Luftverkehrsynternehmen 
urid der Flughafenbetreiber sowie die rSunnlichen Gege- 
benhelten auf vielen Internatlonalen Verkehrsflughafen 
zunehnnend begrenzt. 20 
[0003] Durchgengsschleuse sind von US-A-458 64 41 
bekannt. 

[0004] Der Erfindung liegt somit die Aufgabe zugrun- 
de, die Geschwindigkeit des Passagierverkelirs zu erho- 
hen. 25 
[0005] ErfindungsgemalB wird diese Aufgabe gelost 
durch ein System zur autonnatisierten Kontroile des Pas- 
sierens einer Grenze, mit 

einerEinrichtungzurErfassungvon Personendaten so 
von Systembenutzern, 

einer Einrichtung zur Erfassung von biometrischen 
Daten der Systembenutzer, 

einer Einrichtung zur Weitergabe der Personenda- 
ten der Systembenutzer an eine Fahndungsdaten- 
bank und Abfrage, ob der jeweilige Systembenutzer 
auf ejner Fahndungsliste stelit, 

einer Einrichtung zum Speichern von Daten, die die 
Personendaten und biometrischen Daten des]ewel- 

iigen Systembenutzers umfassen, auf einem fur je- 
den Systembenutzer vorgesehenen Identifikations- 
medium und gegebenenfalls identifikationsmedlum- 
spezifischer Daten, wenn das Engebnis der Fahn- 
dungsabfrage negativ ist^ 



einer hinter der Vereinzelungseinrichtung, aber vor 
dem Eingang der Durchgangsschleuse angeordne- 
ten Einrichtung zum automatisierten Lesen der auf 
den Identlflkationsmedlen gespelcherten Daten, 

einer vordem Eingang der Durchgangsschleuse an- 
geordneten Einrichtung zur automatisierten Uber- 
prufung der Echtheit der Identrfikatlonsmedien, 

elnervordem Eingang der Durchgangsschleuse an- 
geordneten Einrichtung zur automatisierten Uber- 
prijfung des Vorllegens einer Manipulation der Da- 
ten auf dem jewelligen Identifikationsmedlum, 

einer Einrichtung zum automatisierten Offnen des 
Eingangs der Durchgangsschleuse, wenn die Echt- 
heit des jewelligen Identifikatlonsmediums undkeine 
Manipulation der Daten auf dem jeweiligen identifi- 
kationsmedium festgestelit wurden, 

einer in der Durchgangsschleuse befmdlichen Ein- 
richtung zum automatisierl:en Erfassen von biome- 
trischen Daten eines hineingelassenen Systembe- 
nutzers, 

einer Einrichtung zum automatisierten Vergieich der 
erfafSten biometrischen Daten mit den auf dem iden- 
tifikationsmedlum des hineingelassenen Systembe- 
nutzers gespeicherten biometrischen Daten, 

einer Einrichtung zum automatisierten Auslosen ei- 
nes Alarmsignals, wenn die erfaBten und die auf dem 
jeweiligen Identifikationsmedium gespeicherten bio- 
metrischen Daten nlcht ubereinstimmen, 



35 

einer Einrichtung zur automatisierten Weitergabe 
der Personendaten an die Fahndungsdatenbank 
und zur automatisierten Abfrage, ob der Systembe- 
nutzer auf einer Fahndungsliste steht, und 

40 

einer Einrichtung zum automatisierten Offnen des 
Ausgangs der Durchgangsschleuse und Ermftgli- 
chen eines Grenzubertritts des Systembenutzers, 
wenn das Ergebnis der Fahn dun gsabf rage negativ 
45 ist, und zur automatisierten Auslosung eines Alarm- 
signals, wenn das Ergebnis der Fahndungsabfrage 
positiv Ist 



- einer vor einer Grenze angeordneten Durchgangs- [0006] Weiterhln wird die Aufgabe gelost durch ein 

schleuse zum Regulieren des Durchgangs der Sy- so Verfahren zur automatisierten Kontroile des Passierens 

stembenutzer mit einem Eingang und einem Aus- einerGrenze, das diefolgenden Schritte umfaBt: 
gang, wobei der Eingang und der Ausgang in Grund- 

steliung verschlossen sind, - Erfassen von Personendaten von Systembenut- 

zern, 

einervordem Eingang der Durchgangsschleuse an- 55 

geordneten Enriditung zur Vereinzelung der Sy- - Erfassen von biometrischen Daten der Systembe- 

stembenutzer, nutzer, 
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Weitergabe der Personendaten der Systembenut- 
zeran eine FahndungsdatenbankundVornahme ei- 
ner Abfrage, ob der jeweillge Systembenutzer auf 
einer Fahndungsliste steht, 

5 

Speichern von Daten, die die Personendaten und 
biometrischen Daten des jeweiligen Systembenul- 
zers unnfassen, auf einemfurjeden Systembenutzer 
vorgesehenen Identifikationsmedium und gegebe- 
nenfalls identifikationsmediunnspezifischer Daten, 
wenn das Ergebnis der Fahndungsabfrage negativ 
ist, 

Vereinzelung der einen Grenzubertrittsversuch un- 
ternehmenden Systembenutzer vor einer Durch- ^5 
gangsschleuse nnit einem Emgang und einem Aus- 
gang, wobei der Eingang und der Aiisgang In Grurd- 
stellung geschlossen sind, 

automatisiertes Lesen der auf dem Identrftotions- 
mediunn gespeicherten Daten, 

automatisierte Uberprufung der Echthelt des jewei- 
ligen Identifikationsmediunris, 

25 

automatisiertes Uberprufen des Vorliegens einer 
Manipulation der Daten auf dem jeweiligen Identifif- 
kationsmedium, 

automatisiertes Offnen des EIngangs der Durch- 30 
gangsschleuse, wenn die Echthelt des jeweiligen 
Identiflkationsmedlums und keine Manipulation der 
Daten auf dem jeweiligen Identifikationsmedium 
festgestellt werden, 

35 

automatisiertes Ertassen von biometrischen Daten 
eines in die Durchgangsschleuse hineingelassenen 
Systembenutzers, 

automatisiertes Vergleiclien der erfaBten biometri- 
schen Daten mit den auf dem identifikationsmedium 
des hineingelassenen Systembenutzers gespei- 
cherten biometrischen Daten, 

automatisiertes Auslosen eines Alamisignals, wenn 
die erfaBten und die auf dem jeweiligen Identifikati- 
onsmedium gespeicheiten biometrischen Daten 
nicht Dberelnstimmen, 

automatisiertes Weitergeben der Personendaten an so 
die Fahndungsdatenbank und automatisiertes Ab- 
fragen, ob der Systembenutzer auf einer Fahn- 
dungsliste steht, und 

automatisiertes Offnen des Ausgangs der Druch- 
gangsschleuse, wenn das Ergebnis der Fahndungs- 
abfrage negativ ist, bzw automatisiertes Auslosen 
eine Alannsjgnais, wenn das Ergebnis der Fahn- 



dungsabfrage positiv ist 

[00Q7] Insbesondere kann bei dem System vorgese- 

hen sein, da3 die Einrichtung zur Erfassung von Perso- 
nendaten von Systembenutzern eine Einrichtung zum 
automatischen Einlessn der Personendaten aufweist. 
Beispielsweise kann die Einrichtung zum automatischen 
Einlesen der Personendaten ein Scanner sein 
[0008] VorteiJhafterweise umfaBt die Einrichtung zur 
Erfassung von biometrischen Daten eine Einrichtung zur 
Erfassung eines Flngerabdnjckes und/oder der Netz- 
hautstruktur und/oder der Gesichtsmerkmale und/oder 
der Stimme und/oder Sprache eines jeweiligen System- 
benutzers 

[0009] Eine weitere besondere Ausfuhrungsform des 
Systems ist gekennzeichnet durch eine Einrichtung zur 
Verarbeitung der erfaBten biometrischen Daten und Um- 
rechnung In ein oder mehrere rep rase ntative(s) Daten- 
merkmal(e), anhand dessen/derer eine Wledererken- 
nung des Systembenutzers bei der Kontrolle mdglich ist 
[0010] Auch kann vorgesehen sein, daf3 die Einrlch- 
tung zur Speicherung von Daten eine Einrichtung zur 
Verschlijsselung der Personen- und/oder Identlfikalions- 
mediumdaten und zur Erzeugung eines identifikatlons- 
medlumspezifischen Schiussels aufweist, 
[0011] Ferner kann auch vorgesehen sein, daB die 
Verschlusselungseinrichtung ein lokal vorgesehenes SI- 
cherhe'rtsmodul istoderslch in einem Hintergrundsystem 
befindetj das Qber eine On-Line-Datenverbindung ver- 
bunden ist, 

[0012] Vorzugsweise weist die Einrichtung zur Spei- 
cherung der Daten eine Einrichtung zur elektrischen Per- 
sonalisierung derverschlussolten Daten in dem Identifi- 
kationsmedium und/oder eine Hinrichtung zum Aufbrin- 
gen der Personendaten und gegebenenfalls eines Fotos 
sowie der Unterschrlft des jeweiligen Systembenutzers 
auf das Identifikationsmedium auf Beispielsweise kon- 
nen die Personendaten [m Thermotransfer-Druck auf 
das identifikationsmedium aufgebracht werden. 
[0013] Gunstigenweise weist die Einrichtung zur Spei- 
cherung der Daten erne Einrichtung zum LIberziehen des 
Identifikatlonsmediums mit einer Laminatfolie auf. Dun::h 
die Laminatfolie wird das Identifikationsmedium f&l- 
schungssicher. 

[0014] Vorzugsweise sind die Identifikationsmedien 
Smart Cards. 

[0015] GQnstigerweise ist in der Durchgangsschleuse 
mindestens eine Videokamera vorgesehen , Dies enmSg- 

licht eine UbenA/achung der Durchgangsschleuse insbe- 
sondere hinsichtlich der Vornahme einerwirksamen Ver- 
elnzelung.. 

[0016] Weiterhin kann vorgesehen sein, daB die Ein- 
richtung zum Lesen der auf den Identifikationsmedien 
gespeicherten Daten eine Einrichtung zum Berechnen 
des identifikationsmedlumspezifischen Schlussels aus 
den verschlusselten Identifikationsmediumdaten und 
Verifikation desselben aufweist, Damit ist die Vornahme 
einer Kartenlegitimationsprufung moglich, 
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[0017J Welterhin welst die Einrichtung zum Lesen der 
auf dem Jdentiflkationsmediumgespeicherten Daten vor- 
zugsweise eine Einrichtung zum Entschlussein der ver- 
schlusselten Personendaten und Verification derselben 
auf Dfes ennoglicht eine Personenlegitlmatlonsprufung, 
[0018] Eine weitere besondere Ausfuhrungsfomn der 
Erfindung ist gekennzeichnet durcli eine Elnrlciitung zur 
Erzeugung und Verteilung von SclilQssein fur die Daten- 
verschlusselungen und Oberwachung des Systembe- 
triebes. Eine derartige Einrichtung erfullt die Funktion ei- 
nes TrustCenter, 

[0019] Eine weitere besondere AusfLilirungsfomn der 
Erfindung ist gel<ennzeichnet durch eine Einrichtung zur 
Verwaltung und Gbenwachung insbesondere der Le- 
bensdaueralleranSystembenutzerausgegebenerlden- 
tifilotionsmedien 

[0020] SchlieBlich Ist eine weitere besondere Ausfuh- 

rungsfonn der Erfindung gekennzeichnet durch eine Ein- 
richtung zur kryptographischen Verschlusselung von 
zwischen Einrlchtungen des Systems und/oderzwischen 
dem System und exteraen Einrichtungen ubertragenen 
Daten. Dies soli vor einem unerlaubten Zugriff auf die 
ubertragenen Daten schutzen 
[0021] Die Unteranspruche 1 7 bis 26 betreffen vorteil- 
ha1teWelterenEwicklungendeserf]ndungsgema(3enVer- 
fahrens, 

[0022] Der Erfindung Ifegt die uberraschende Erkennt- 
nis zugrunde, daB durch eine Integration der behdrdli- 
chen Kontrolien in den Gesamtablauf wobei ein Teii der 
Kontrolle im Prinzip vorgezogen wird, eine Beschleuni- 
gung und Vereinfachung der Abwicklung des Grenzver- 
kehrs erzlelt wird, ohne daB darunter die Qualltat der 
Kontrolle leidet, Durch die zumtndestzum Teil vorgezo- 
gene Kontrolle kann die Kontrolle an derGrenze hinslcht- 
lich der berelts vorab kontrollierten, unproblematischen 
Reisenden verelnfacht und verkurztwerden^ wodurch ei- 
ne Konzentration der Polizei- und KontroJlkrafte auf po- 
tentielle Tater und Gefahren moglich wird. 
[0023] Die vorab durchgefuhrte Kontrolle eriaubt eine 
maschinelle Uberprufung des polizeilich unproblemati- 
schen grenzuberschreitenden Reisendenverkehrsmltall 
den EInzelkomponenten, die auch eine Grenzkontrolle 
durch Polizeibeamte beinhaltet, namiich Personenver- 
gleich, Echtheitsprufung von Grenzubertrittsdokumen- 
ten, Fahndungsabfrage, Gestattung desGrenzubertrrtts. 
□abei werden unter Berucksichtigung aJler nationalen, 
Schengener und EU-Anforderungen zuvor aus polizeili- 
cherSicht unproblematische eingestufte Relsende nach 
Antragsteliung und auf freiwiiliger Basis mittels auf ihren 
Identifikationsmedien gespeicherten Personendaten 
und biometrischen Daten beim GrenzQbertritt jeweils ak- 
tuell maschineil identifiziert und ubereine On-Line-Fahn- 
dungsabfrage polizeilich uberpuft, 
[0024] Weitere Merkmale und Vortelle der Erfindung 
ergeben sich aus den Anspruchen und aus der nachste- 
henden Beschreibung, in der ein Ausfuhrungsbeispiel 
anhand der schematischen Zeichnungen im einzelnen 
eriautert ist Dabel zeigt 



Figur 1 eine Draufsicht eines Tells eines Systems 
gemaB einerbesonderen Ausfuhrungsform der vor- 
llegendan Erfindung; und 

5 Figur2 schematisch wesentliche Einrichtungen und 
Elnrichtungsbltioke des Systems; 

[0025] Figur 1 zeigt eine Draufsicht eines Tells eines 
Systems gemaB einerbesonderen Ausfuhrungsfomn der 

^0 Erfindung Der gezeigte Teil betrifft die Kontrolie von Sy- 
stembenutzern direktan elnerGrenze (z, B Landesgren- 
ze). Figur 1 zeigt eine Durchgangsschleuse 1 0 mit einem 
Eingang 12 und einem Ausgang 1 4 Der Eingang 1 2 und 
der Ausgang 14 sind jeweils mit einer Drehtur 16 bzw. 

t5 18 versehen Vor der Drehtur 1 6 am Eingang 12 befindet 
sich eine Einrichtung zur Vereinzelung der Systembe- 
nutzer (nicht gezeigt), Die Vereinzelung kann mecha- 
nlsch, aberauchz B optisch durchgefiihrt werden Bei- 
spieisweise kann dazu eine Ampel verwendet werden. 

20 Wenn die Ampel auf G run steht darf eine einzelne Person 
passleren. Wenn eine Person bei Rot weitergeht, wird 
ein optischerund/oderakustlscher Alarm ausgelost Zwi- 
schen dieser Einrichtung und der Drehtur 1 6 befindet sich 
ein Kartenlesegerat20zum Lesen von Smart Cards. Die 

25 DrehtDr 1 6 ist in Grundstellung arretiert und verschlieBt 
somit den Eingang 12., In der Durchgangsschleuse 10 
befindet sich ein Biometriedateniesegerat 22. Das Kar- 
tenlesegenat 20 und das Blometriedatenlesegerat 22 
sind mit einem lokalen Server des Bundesgrenzschutzes 

30 (nicht gezeigt) verbunden In der Durchgangsschleuse 
10 befindet sich daruber hinaus noch eine Videokamera 
24 zur Oberwachung der mechanischen Vereinzelung 
derSystembenutzer 

[0026] in Figur 2 sind schematisch die wesentllchen 

35 Einrichtungen einzein bzw, in Blocken des Systems ge- 
zeigt. Ein Systemblock, der mit dem Bezugszeichen 26 
versehen ist, betrifft die Beantragung und Ausgabe einer 
Karte (sogenanntes Enrolment Center).. Die Karte in 
Form einer Smart Card 28 dient als Berechtigungsaus- 

40 weis fur jeden Systembenutzer Sie wird beim Grenz- 
iibertritt in dem in Figur 1 gezeigten Teil des Systems, 
der hier als dezentrales automatisiertes Grenzkontroll- 
system 30 bezeichnet ist, uberpruft Das dezentrale au- 
tomatislerte Grenzkontrollsystem 30 umfaBt einen loka- 
len Server des Bundesgrenzschutzes, der uber elnen 
Dlenststellen-Sen/er 32 des Bundesgrenzschutzes mit 
einer Fahndungsdatenbank 34 der IMPOL, einem Trust 
Center 36, einerzentralen Datenvenwaltungseinrichtung 
38 des Bundesgrenzschutzes und dem Enrolment Cen- 

50 ter 26 in Verblndung steht 

[0027] In dem Enrolment Center 26 l^nn eine Karten- 
beantragung vorgenommen werden Dies© umfaBt alle 
ProzeBschritte, die zur Erfassung der potentiellen Sy- 
stembenutzer, also insbesondere die Erfassung ihrer 

55 Fersonen- und biometrischen Daten, notwendig sind , Es 
konnen mehrere Enrolment Center vorgesehen sein, die 
an verschiedenen Orten errichtetsind Zur Kartenbean- 
tragung legen die potentiellen Systembenutzer ihr 
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GrenzQbertrittsclokumentvorj von dem der Bediener ei- 
nes PCs, auf dem die Erfassungssoftware lauft, die Da- 
ten automatisch odermanuell erfaBt. DerDatensatzwird 
auf einem Formblatt ausgedruckt und vom antragste Hen- 
den, potentlellen Systenribenutzer untersdirieben.. Das 
Formblatt enthflit unter anderem folgende weitere Anga- 
ben: 

sine Beschreibung des Systems, 

- die Personalien des potentiellen Systembenutzers, 

die BedingungenfurdlefreiwllligeTeilnahmeam Sy- 
stem, 

die notwendigen datenschiitzrechtllchen Erklamn- 
gen zur Erhebung, Speicherung, Obermittlung und 
Verarbeitung derPersonendaten des antragstellen- 
den, potentiellen Systembenutzers im Zusammen- 
hang mit der automatisierten Grenzkontrolle, 

einen Hinwels auf die Pfllcht des Systembenutzers, 
bei jedem Grenzubertritt ein gultiges Grenzuber- 
trittsdokument mit sich zu fiihren, und 

Hinweise zu den anerkannten Reisezwecken.f Qrdie 
das System genutzt werden darf , 

[0028] In einem nachsten Schritt wird der Flngerab- 
druck des potentiellen Systembenutzers mittels eines 
Fingerabdrucklesegerates (nicht gezeigt) erfaBt. Die 
vom Fingerabdrucklesegerat gewonnen Oaten werden 
durch die Verarbeitungssoftware in ein oder mehrere re- 
presentative Datenmerkmale umgerechnet, anhand de- 
rer eine Wiedererkennung des Systembenutzers bet der 
Grenzkontrolle moglich wird Dann wird ein Test auf Du- 
plikate vorgenommen, das helB! es wird iiberpruft, ob 
der Antragstelier bereits im System erfaBt ist, Die zuvor 
erfaBten Personendaten werden um die biometrlschen 
Daten erganzt und zur Verschlusselung gegeben , Diese 
erfolgt entweder am lokalen System in einem dafur vor- 
gesehenenSiclierheitsmodulodertnememHIntergrund- 
system, zu welchem fur diesen Zweck eine On-Llne-Da- 
tenverbindung geschaltet wird, Die versclilusselten Da- 
ten werden im Enrolment Center in einen Smart Card- 
Rohling elektrisch personalisiert und die Personendaten 
auf dem Smart-Card-Korper im Tliermotransfer-Druck 
aufgebracht, Zusatzlich konnen gegebenenfalls ©In Foto 
des Systembenutzers sowie seine Personalien (beides 
erforderlichenfalls als Grundlagefureine manuelle Uber- 
prufung, z B im Rahmen von Stichprobenkontrollen), 
seine Unterschrift und der Name des ausstellenden En- 
rolment Centers aufgedruckt werden , AnschlieBend wird 
der Smart-Card-Korper mit einer falschungssicheren La- 
minatfolie uberzogen. All diese Schritte laufen in einer 
Maschine ab und werden vom PC Qbenwacht, Nach einer 
Funktionskontrolle an einem Terminal im Enrolment 
Center wird die Smart Card dem Systembenutzer aus- 



gehandigt, Das gesamte Enrolment dauert weniger als 
10 Minuten. Die Kartenbeantragung und -ausgabe kann 
auch gleichzeitig mit der erstmaligen Benutzung des Sy- 
stems an der Grenze vor Ort vorgenommen werden 
5 [0029] Alle hoheitlichen Schritte - die Durchfuhrung 
dervorgezogenen Grenzkontrolle entsprechend der na- 
tlonaien, Schengener und EU-Anforderungen und die 
Frelgabe der Smart Card - sind einem Beamten der 
Grenzkontroilbehorde vorbehalten. Erwird gegebenen- 
falls unterstutztdurch Personal bzw. Beauftragte des Be- 
treibers. FQrdieMltarbelterlnden Enrolment Center wer- 
den ebenfalls geeignete Zugangskontrollen vorgesehen 
[0030] Daruber hinaus stelit die Erfassungssoftware 
sicher, daB Smart Cards nur mit Zutun legltlmierter 
Grenzkontroilbeamter.nurnacherfolgreicliemVerlaufen 
aller erforderlichen Schritte und nur fur vlsumsbefreite 
Angeh5rlge bestlmmter zugelassener Staaten ausge- 
stellt werden, die Im Besitz eines guitigen Reisedoku- 
mentes sind. 

20 [0031] Die Kartenkontrolle umfaBt alle Prozesse, die 
bei der Prufung des Karteninhabers Im Rahmen der Ein- 
reise durchgefuhrt werden Die Kartenkontrolle findet in- 
nerhalb einer Durchgangsschleuse 10 (siehe Figur 1) 
statt, welche diezu kontrollierende Person betreten muB 

25 [0032] Die Durchgangsschleuse selbst kann problem- 
losin die bestehende [nfrastrukturintegriert werden, das 
helBt es sind nur geringtugige bauliche Veranderungen 
notwendig Der lokale Server dient zur Ablaufsteuerung 
und zur Kommunikation mitextemen Rechnern, 

30 [0033] Vor der Durchgangsschleuse 10 findet zu- 
nachstelne mechanlsche Vereinzelung mrttels einer Ein- 
richtung zur mechanlschen Vereinzelung (nicht gezeigt) 
statt, um das Eintreten von Unberechtigten sowie meh- 
reren Personen zur gleichen Zeit zu verhlndern. Diese 

35 MaBnahms wird durch den Einsatz einer Videokamera 
24 in der Durchgangsschleuse 10 und entsprechender 
Bildauswertungssoftware erganzt, 
[0034] Hinter der Einrichtung zur Vereinzelung, aber 
vor dem Elngang 12 wird die zu uberprtifende Person 
zum Einfuhren der Smart Card in ein Kartenlesegerat20 
aufgefordert. In dem Kartenlesegerat20 befindetsich ein 
Sicherheltsmodul (nicht gezeigt) zur Echtheitsuberpru- 
fung derSmart Card sowie derdarauf gespelcherten Per- 
sonendaten. Jede authentische Smart Cardbesltzt einen 

^ Smart Card-spezlfischen Schlussel, der basierend auf 
bestimmten Smart Card Daten von dem Sicherheitsmo- 
dul im Kartenlesegerat 20 berechnet und sodann verifi- 
ziert werden kann, Die Kommunikation zwischen der 
Smart Card und dem Sicherheitsmodul in dem Karten- 

50 iesegerat 20 wird zusatzlich mit einem temporaren 
Schlussel geschutzt, der vorher zwischen der Smart 
Card und dem Sicherheitsmodul ausgehandelt worden 

[St. 

[0035] Danach werden die Personendaten 
55 eInschlleBlich biometrlschen Daten aus der Smart Card 
gefesen und eine angehangte Signatur (MAC) mit Hllfe 
des offentlichen Schlussels Im Sicherheitsmodul auf 
Echtheit uberpruft. So konnen lllegale Oatenmanipula- 
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tionen sicher erkannt warden 
[0036] Wenn die Echtheit der Karte und das Vorliegen 
keiner Datenmanipulation veriflzisrt worden sind, ]a3t 
sich die Drehtur 16 drehen, so daB die Person in die 
Durcligangsschleuse geiangen kann in der Durch- 
gangsschleuse 10 wird mitteis des Blometriedateniese- 
gerates 22 der Fingerabdruck des Systembenutzers er- 
iiol^en und eln Vergleich mit cfen auf seiner Snnart Card 
gespeicherten biometrischen Daten vorgenommen Da- 
2U werden aus den iokai gewonnen Daten Extrakte ge- 
blldet und mit den In der Smart Card gespeicherten Da- 
tenmerkmalen verglichen, 

[0037] Durcli dieses zweistufige Uberprufungsverfah- 
ren am EIngang der Dutichgangssctiieuse und innerhalb 
derselben wlrd zwelerlei erreicht: 

es wlrd festgestelit, daB es sich bei der Person, der 

aufgrund der am Eingang der Durchgangsschleuse 
gepruften Smart Card der Einial3 gewahrt wurde, um 
einen berechtlgten Systembenutzer handeit; 

unberechtigten Personen wird der Eintritt in die 
Durchgangsschieuse venvehrt; hier durfte es aus- 
reichen, auf einem Bildschimn am KartenlesegerSt 
am Eingang der Durchgangsschleuse einen Hinweis 
2U geben, sich der reguiaren Grenzkontrolie zu un- 
terziehen, 

MiBbrauchliche Benutzer oder durch das System 
faischiichenrt^eise zuruckgewlesene Berechtigte 
(dies laRtsich durch kein technisches System zu 1 00 
% ausschlief3en) werden spatestens in der Durch- 
gangsschieuse zuverlassig festgestelit Hier ware - 
nach einer entsprechenden automatlschen Alar- 
mauslosungdurchdasSystem-ein Eingreifen durch 
die Grenzkontrolibehorde oder einen Beauftragten 
erforderiich, um die Person aus der Durchgangs- 
schleuse zu befreien und einer regularen Grenzkon- 
trolie zuzufQhren 

[0038] Im nachsten Schrltt werden die erfcrderiichen 
Personendaten uber den lokalen Server des Bundes- 
grenzschutzes zur UberprQfung an eine Fahndungsda- 
tenbank der iNPOL weitergeieitet 
[0039] Wenn alle vorab beschriebenen Schrltte bean- 
standungslos durchlaufen werden, wird der Ausgang der 
Durchgangsschieuse freigegeben, Im Falle einer Bean- 
standung Oder einesfehlerhaften Verhaltens des System 
wird ein Alarm ausgelost und mit der Uberprufung der 
Person durch Personal des Bundesgrenzschutzes fort- 
gefahren 

[0040] Die Gestaltung der Durchgangsschleuse, die 
Art der venwendeten Vereinzeiungstechnik und der Frei- 
gabe am Ausgang der Durchgangsschleuse konnen in 
Abhangigkeit von z. B der Ergonomie und der Fuhrung 
groBer Verkehrsstrome bestimmt werden , 
[0041 ] Das Trust Center 36 dient ais zentraie System- 
komponente zur Venwaltung aiiersicherheitsreievanten 



Aspekte des Systems, also insbesondere zur Erzeugung 
und Verteilung von SchlQsseln und Uberwachung des 
laufenden Systembetrlebes 

[0042] Die zentraie Datenven/valtungseinrlchtung 3S 
s des Bundesgrenzschutzes dIent zur Verwaltung aller 
ausgegebenen Smart Cards mitFunktionen zurUbenrt/a- 
chung des Card Life Cycle Die Kartenverwaitung be- 
inhaltet auch die Funktionen zurAntragsbearbeitung, al- 
so der Erfassung der Personendaten und der biometri- 
^0 schen Daten. 

[0043] Die besondere SensibllitSt der Daten der Smart 
Cards und der damit verbundenen FunktlonalltSt erfor- 
dern ein hohes iVIaB an Schutz gegen: 

^5 - Verfalschung der Personendaten auf der Smart 
Card 

- Verfalschung der biometrischen Daten 

20 - Verfalschung der Verbindung zwischen biometri- 
schen Daten und den Personaldaten 

- Manlpulationen an einem Kontrolltemninai 

25 - Manipulationen bei der Erfassung der Personenda- 
ten bzw der biometnsdien Daten und 

Angriffe auf die kryptographischen Funktionen im 
System, 

30 

[0044] Zur umfassenden Absicherung dieser Risiken 

IsteineschalenartigeSicherheitsarchitekturzurAbsiche- 
rungzentralerlnformationen und Funktionen ratsam.Ziei 
der Architektur ist, die Errichtung mehrerer Hiirden, die 
35 eln potentieller Angreifer ubenwinden mul3, um das Sy- 
stem zu manipulieren 

[0045] Den Kern bilden die Personendaten zusammen 
mit den biometrischen Daten. Diese Daten werden im 
System als eine Einheit betrachtet, das helBt biometri- 

40 sche Daten sind ein Element des Person endatensatzes. 
Uber den Personendatensatz wird zunachst mit Hilfe el- 
nes Secure Hash-Verfahrens, z. B. dem SHA-1 Algorith- 
mus, eine kryptographlsche Prufsiimme erzeugt, Dieser 
1 60 Bit lange Wert hat dietypischen Eigenschaften eines 
guten Hash-Algorithmus, das hei0t, er ist im wesentli- 
chen kollisionsfrei Das Ergebnis des Algorlthmus wird 
als ein Teii der Kryptogrammbildung ven/vendet, da der 
gesamte Personendatensatz als Bngabedatum der Ver- 
schlusselungzugroBist DerHash-Wertkomprimiertden 

50 Inhait des Personendatensatzes auf eine stark reduzler- 
te Fomn Dabei kann vom Hash-Wert nicht auf die ur- 
sprungilchen Daten geschlossen werden Anderungen 
im Personendatensatz ergeben zwangsiaufig eine An- 
derung im Hash-Wert Das Secure Hash-Verfahren ist 

55 kein VerschlDsselungsverfahren, das heil3t, es verwen- 
det keine Schlussel. 

[0046] In derzwelten Schale werden wesentliche Ex- 
trakte aus den Personendaten (z. B. Name, Geburtsda- 
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turn und Geburtsort), Insbesondere also die Daten fur die 
Abfrage bei der INPOL-Fahndungsdatenbank, zusam- 
men mit dem HasJi-Wert mit einem Private Key-Verfah- 
ran verschlusselt Als Private Key-Verfahren sollen - ab- 
hangig von der welteren Detailabstimmung - RSA mit 
einer SchJussellange von mindestens 1 024 Bit oder el- 
liptfeche Kurven mit hlnrel(±ender Scliiussellange ge- 
nutztwerden 

[0047] Fur die Verschlusselung des Extraktes wird der 
private Sclilussel einer Ausgabestelle Oder der private 
ScliiQsselelnerzentralen Instanzverwendet Imletzteren 
Fall muB der Personendatensatz zur Verschlusselung 
an die zentrale Instanz versandt werden und er kann erst 
dann in die Smart Card personalisiertwerden (z. B. durch 
On-Line-Anfrage) 

[0048] Fur die Entschlusselung des Extraktes wird der 
5ffentiiche Sclilussei benotigt. Dieser wird in den Kon- 

trolltermmals hinterlegt Eine Entschlusselung liefert zu- 
nachst die Personendaten fur die INPOL-Abfrage und 
den Hash-Wert. Der Hash-Wert wird mit einem erneut 
berechneten Hash-Wert vergiichen Bei Gleichheit kann 
von einem unverfSlschten Datensatzausgegan gen wer- 
den 

[00491 Innerlialb des Verfahrens sind eine Reihe von 
Varianten moglich, deren Nutzung von den konkreten 
Rahmenbedingungen abhangt: 

Eine eindetftige Smart Card-Nummer kSnnte in den 
Personendatensatz aufgenommen und dadurch mit 
diesemverknupft werden Eine Ubertragung der Da- 
ten auf ein andere Smart Card ware damit nictit mog- 
lich Eine sinnvofle Nutzung dieser Option setzt eine 
On-Lins-Personalisierung voraus, bei der Person- 
endaten und die Smart Card-NummerverschlQsselt 
und direkt in die Smart Card personailslert werden, 

Die VerschlQsselung des Personendatensatzes 
kann mit dem privaten Schiussel der Ausgabestelle 
durchgefuhrt werden Diese wurde dann ihren 6f- 
fentlichen Schlussei in der Smart Card speichern 
Eine Kontrollstation wurde dann zur Verifikation des 
Extraktes den von dsr Smart Card gelieferten offent- 
lichen Schlussei der Ausgabestelle nutzen Zur Ver- 
hinderung des MiBbrauches, etwa der Einspielung 
von getaischten Sffentiichen Schlusseln einer Aus- 
gabestelle, mussen die Schlusselpaare der Ausga- 
bestelle von einer zentralen Instanz elektronisch si- 
gniert werden, Ein solches Verfahren eriaubt die 
Ausgabe der Smart Card ohne Zugriff und Authori- 
sierung durch ein Zentralsystem 

[0050] Jede Smart Card im System erhalt bei der Her- 
stellung eine eindeutige Seriennummer Diese Serien- 
nummerist Grundlage derkryptographischen Verfahren, 
die aktlv durch die Smart Card ausgefijhrt werden. Die 
Smart Card enthSit einen durch Ableltung der Serien- 
nummer unter einem MasterschlusseJ gewonnen smart- 
cardspezifischen Schlussei zur Authentisierung. 



[0051] Die Authentisierung erfolgt implizit durch das 
Auslesen der Personendaten imsogenannten PRO-Mo- 
de, Der PRO-Mode 1st eine in IS07816 eingefuhrte Va- 
riants des Lesezugriffs, bei dem die an das Terminal 

5 ubertragenen Daten durch einen Message Authenticati- 
on Code (MAC) gesichert werden Dieser MAC wird dy- 
namisch bei jedem Lesezugriff neu erzeugt, um einen 
sogenannten Replay-Angriff, also das erneute Elnsple- 
len bereits geiesener Daten, auszuschlieBen 

10 [0052] Die Erzeugung des MAC erfolgt innerhalb des 
Betriebssystems der Smart Card unter Nutzung des kar- 
tenindividuellen AuthentislerungsschlQssels und einer 
durch das Terminal gelieferten Zufallszahl DasTemninal 
enthalt hierzu in einem Sicherheitsmodul (z , B eine wei- 

?5 tere Smart Card) einen Zufallszahlengenerator und den 
Masterschliissel, welche fiir die Ableitung des Smart 
Card-SchlClssels unter der Smart Card-Seriennummer 
benutztwird, Das Terminal uberpruftseibstandig und un- 
mittelbar nach dem Auslesen der Smart Card-Daten den 

20 MAC und weist eine Karte mit fehlerhaftem MAC ab 
[0053] WIchtig ist in diesem Zusammenhang, da(3 der 
MAC dynamiscti durch die Smart Card erzeugt wird Der 
dazu notwendige SchlQssel muB in der Smart Card vor- 
handen sein Eine Manipulation der Smart Card, z. B, 

25 durch Duplizieren, erfordert Zugriff auf diesen Karten- 
schlussel, welches nur unter hohem finanziellen Auf- 
wand moglich Ist 

[0054] Auch filr diese Schutzstufe gibt es eine Varian- 
te, diejedoch eine leistungsfahigere Smart Cardvoraus- 

30 setzt . Statt ai nem symmetrise h en Verf ah ran f u r die M AC- 
Bildung (in der Regei Triple DES) kann das asymmetri- 
sche Verfahren der elllptischen Kun/en Anwendung fin- 
den, Bei diesem Verfahren wird in der Karte der private, 
kartenindividuelle SchlUssel auslesegeschUtzt gespei- 

35 chert und der offentliche Schlussei lesbar gemacht Der 
offentliche Schlussei muB dazu mit dem privaten Schlus- 
sei des Systembetreibers sjgniert werden Ein Kontroll- 
terminal braucht nun nur den weniger sicherheitskriti- 
schen, offentllchen Schlussei des Systembetreibers zu 

40 speichern und mit Ihm die Echtheit des kartenindividuel- 
len offentllchen Schlussei zu uberprQfen. 
[0055] Das Auslesen der Daten erfolgt analog dem 
symmetrischen Verfahren, mit der Abweichung, daB der 
MAC durch den asymmetrischen Algorithmus erzeugt 

45 wird 

[0056] Solche Verfahren auf Basis asymmetrischer 
Kryptographie flnden aufgrund ihrer hohen Anforderun- 
gen an die Rechenlelstung nur begrenzten Einsatz in 
Smart Cards Im Detail muG hiersicher ncch das Antwort- 

50 Zeitverhalten einer solchen Losung betrachtet werden. 
[0057] Die Ubertragung der Daten zwischen Einrich- 
tungen des Systems, insbesondere die Ubertragung der 
Daten bei der Kartenausgabe soil durch kryptographi- 
sche Verfahren abgeslchert werden Hierzu bieten sich 

55 Verfahren der Line-VerschlDsselung an, mit denen sich 
geschutzte^transparente Datenkanale aufbauen lassen 
[0058] Mit diesen Verfahren Iaf3tsich die Integritat der 
Daten und die Vertraulichkeit sicherstellen Letztere ist 
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insbesondere bel der Erzeugung und Verteilung derSy- 
stemschiussel von Bedeutung 
[0059] Ein wesentlicher, oft unterschatzter Mechanis- 
muszurSicherungvon informatlonssystemen istdie Eln- 
bettung der technlschen Systeme in eine zuveriassige 
Ablauforganisation (5, Schale). Die besten und Jangsten 
Schiussejverfahren der Weit nutzen nichts, wenn die 
Schliissel einfach zugangHch sind. Technlscfie Verfah- 
ren konnen hier nur einen begrenzten Schutz hersteilen, 
einem Angriff von innen sind sie oft schutzlos ausgelle- 
fert.. 

[006Q] Ein weiteres Merkmal der 5 Schale 1st die Ab- 
sicht, alle sicherheitsrelevanten Systemeinrichtungen in 
die Obhut der Grenzkontrolibehfirde zu stellen , Dadurch 
soli aus Sicht der Behorde gewahrleistet werden, daB 
ein Zugriff auf diese Systenneinrichtungen ohne ihrZutun 
und unter keinen Unnstanden mOgllch 1st. Dazu nnQssen 
sich nicht alle Systemeinrichtungen tatsachlich In den 
Raumlichkeiten der Behorde selbst befinden Der tech- 
nlschen Betrieb konnte auch bel einem Beauftragten der 
Behorde durchgefuhrt werden, solange durch entspre- 
chende vertragliche Gewahrlelstungsklausein ein uner- 
laubter Zugriff durch Dritte (einschlleBllch diem Betreiber) 
unnnogHch 1st, 

[0061] Eine zusatzliche organisatorische Sctiutzvor- 
kehrung besteht darin, daB alle hoheitlichen Schritte ■ 
das lieiBt die Durchfiihrung der vorgezogenen Grenz- 
kontrolle entsprechend den nationalen, Schengener und 
EU-Anforderungen und die Freigabe der Smart Card - 
einem Beamten der Grenzkontrollbehorde vorbehaiten 
sind. FUr Ihn sowie fur die anderen Mitarbeiter in dem 
Enrolment Center bestehen geeignete Zugangskontroi- 
len 

[0062] Daruber hinaus stellt die Erfassungssoftware 
slcher, daB Smart Cards 

nur auf der Basis im System bereits bekannter Smart 
Card-Rohlinge (jeder Smart Card-Rchllng besitzt et- 
ne eln-eindeutjge Kartennummer), 

nur mit Zutun im System legitimterter Grenzkontroll- 
beamter, 

nur nach erfoigreichem Durchlaufen aller erforderli- 
chen Schritte und 

nur f Lir Angeiiorige bestimmter zugelassener Staa- 
ten ausgesteitt werden, die im Besltz eines guitigen 
Reisedokumentessind 

[0063] Die erfindungsgemaBen Systeme haben einige 
Vorteile, die es von verscfiiedenen anderen, bislang er- 
folgJosen Versuchen zur flachendeckenden Einfuhrung 
automatisierter Grenzkontroilen unterscheiden: 

Das System slellt eine wirksame und sparsame 
Moglicfikeit dar, Grenzkontroiibehorden effizienter 
zu machen. Das System eriaubt es den Grenzkon- 



troJIkraftePj stch auf einen eherpolizeilich relevanten 
Personenkreis zu fokussieren Damit konnen sie mit 
weniger Aufwand mehr fur Sicherlisit und Service 
leisten. 

5 

Die gem^ einer besonderen Ausfuhrungsform der 
Erfindung eingesetzte Smart Card eriaubt die Spei- 
cherung auch sensibler Daten ohne das Risiko eines 
MiBbrauchs durch unerlaubte Veranderungen oder 
^0 von Falschungen. 

Das Verfahren eriaubt kiirzestmogliche Transaktl- 
onszeiten (im wesentlichen nur abhangig vom Ant- 
wort-Zeitverhalten der Abfrage bei der INPOL-Fahn- 
^5 dungsdatenbank), 

Das Verfahren eriaubt geringstmogliche Transakti- 
onskosten. 

20 - Das Verfahren birgt kelne datenschutzrechtliche 
Problematik (der Besitzer tragt seine vor unberech- 
tlgtem Zugriff sicher geschutzten personenbezoge- 
nen Daten mit sich) 



25 - Die in einer besonderen AusfQhrungsform der Erfin- 
dung verwendete Smart Card enthalt ausreichende 
Spelcherkapazitatfurdiese und gegebenenfalls wei- 
tere zukunftige Anwendungen mrt zusatzlichen 
Nutzpotentialen. 

30 

Auf der gemiB einer besonderen AusfQhrungsform 

der Erfindung venA^endeten Smart Card beflndetsich 
ausreichend Platz, urn gegebenenfalls weitere Si- 
cherheitsmerkmale (z B maschinenlesbares Holo- 
35 gramm mit Mikroschrift) Oder andere Spelchervari- 
anten gleichzeitig zu nutzen. 

Bezugszeichenliste 

40 [0064] 

8 Grenze 

10 Du rchgangsschleuse 

12 Eingang 

4S 14 Ausgang 

16,18 Drehtur 

20 Kartenlesegerat 

22 Biometriedatenlesegerat 

24 VIdeokamera 

50 26 Enrolment Center 

28 Smart Card 

30 dezentrales automatisiertes Grenzkontrollsy- 
stem 

32 Dienststeilen-Server 

55 34 Fahndungsdatenbank 

36 Trust Center 

38 zentrale Datenverwaltungseinrlchtung 
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senen Systembenutzers gespeicherten biome- 
trischen Daten, 

- einer Einrichtung zum automatisierten Auslo- 
sen eines Alarmsignals, wenn die erfaBten und 

5 die auf dem jeweiligen idantifikationsmedium 

gespeicherten biometrlschen Daten nicht Dber- 
einstlmmen, 

- elner Einrichtung zur automatisierten Weiter- 
gabe der Personendaten an die Falindungsda- 

fo tenbank (34) und zur automatisierten Abfrage, 

ob der Systembenutzer auf einer Fahndungsli- 
ste steht, und 

• einer Einrichtung zum automatisierten Offnen 
des Ausgangs der Durchgangsschleuse (10) 
^5 und Ermogllchen eInes GrenzDbertritts des Sy- 

stembenutzers, wenn das Ergebnis der Fahn- 
dungsabfrage negativist, und zur automatisier- 
ten Auslosung eines Alarmsignals, wenn das Er- 
gebnls der Fahndungsabfrage positiv ist, 1 

20 

2, System nach Anspruch 1, dadurch gekennzelch- 
net, daB die Einrichtung (26) zur Erfassung von Per- 
sonendaten von Systembenutzern eine Elnriclitung 
zum automatiscfien Elnlesen der Personendaten 
25 aufweist 



Patentanspruche 

1, System zur automatisierten Kontrolle des Passie- 
rens einer Grenze, mit; 

- einer Einrkjhtung (26) zur Erfassung von Per- 
sonendaten von Systembenutzem, 

- einer Einrichtung (26) zur Erfassung von blo- 
metrischen Daten der Systembenutzer, 

- einer Einrichtung (26) zur Weltergabe der Per- 
sonendaten der Systembenutzer an eine Fahn- 
dungsdatenbank (34) und Abfrage, ob der je- 
weilige Systembenutzer auf einer Fahndungsli- 
ste steht, 

- einer Einrichtung (26) zum Speichern von Da- 
ten, die die Personendaten und bfometrischen 
Daten des jeweiligen Systembenutzers umfas- 
sen, auf einem furjeden Systembenutzer vor- 
gesehenen identifikatlonsmedlum (26) und ge- 
geb en enf alls i d entifi katio nsm e dlu mspezif i- 
scher Daten, wenn das Ergebnis der Fahn- 
dungsabfrage negativ ist, 

- einer vor einer Grenze (8) angeordneten 
Durchgangsschleuse (10) zum Regulieren des 
DurchgangsderSystembenutzermitelnem Ein- 
gang (12) und einem Ausgang (14), wobei der 
Eingang (12) und der Ausgang (14) in Grund- 
stellung verschlossen sind, 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung zur 
Vereinzelung der Systembenutzer, 

- einer hinter der Vereinzelungseinrichtung, 
aber vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung (20) 
zum automatisierten Lesen der auf den Idenfifi- 
kationsmedien gespeicherten Daten, 

- einer vor dem Eingang (12) der Dunshgangs- 
schleuse (10) angeordneten Einrichtung (20) 
zur automatisierten Uberprufung der Echtheit 
der Identifikationsmedlen, 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung (20) 
zur automatisierten Uberprufung des Vorlie- 
gens einer Manipulation der Daten auf dem je- 
weiligen Identifikationsmedlum, 

- einer Einrichtung zum automatisierten Offnen 
des Eingangs (12) der Durchgangsschleuse 
(10), wenn die Echtheit des jeweiligen Identifi- 
katio nsmedi urns und keine IVIanipulation der 
Datenauf dem jeweiligen identifikationsmedlum 
festgestellt wurden, 

- einer in der Durchgangsschleuse (10) befind- 
lichen Einrichtun (22) zum automatisierten Er- 
fassen von blometrischen Daten eines hineln- 
gelassenen Systembenutzers, 

- einer Einrichtung (22) zum automatisierten Ver- 
gleich dererfaBten biometrlschen Daten mit den 
auf dem Identifikationsmedlum des hinelngelas- 



3., System nach Anspruch 1 Oder 2, dadurch gekenn- 
zeichnel, daB die Einrichtung (22,26) zur Erfassung 
von blometrischen Daten eine Einrichtung zur Erfas- 
^0 sung eines Fingerabdruckes und/oderderNetzhaut- 
struktur unc^oder der Gesichtsmerkmale und/oder 
der Stimme und/oder Sprache eines jeweiligen Sy- 
stembenutzers aufweist. 

55 4., System nach einem der Anspruche 1 bis 3, gekenn- 
zeichnet durch eine Einrichtung zur automatisier- 
ten Verarbeitung der srfalBten blometrischen Daten 
und automatisierten Umrechnung in ein oder meh- 
rere reprasentative(5) Datenmerkmal(e), anhand 
"^0 dessen/derer eine automatisierten Wiedererken- 
nung des Systembenutzers bei der Kontrolle mog- 
lich ist. 

5.. System nach einem dervorangehenden Anspruche^ 
^ dadurch gekennzeichnet, daB die Einrichtung (26) 
zurSpeicherungvon Daten eine Einrichtung zurVer- 
schlQsselung der Personen- und/oder Identlfikatl- 
onsmediumdaten und zur Erzeugung eines identlfl- 
kationsmediumspeziflschen SchlUssels aufweist 

so 

6» System nach Anspruch 5, dadurch gekennzeich- 
net, daB die VerschlQsselungselnrichtung ein lokal 
vorgesehenes Sicherheitsmodul 1st oder sich in ei- 
nem Hlntergrundsystem beflndet, das Qber eine On- 
S5 Line-Datenverbindung verfaunden ist 

7. System nach Anspruch 5 oder 6, dadurch gekenn- 
zeichnet, daS die Einrichtung (26) zur Sperchemng 



35 4., 



40 



5.. 

45 



50 

6. 
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der Daten sine Einrichtung zur elektrischen Perso- 
naljsierung der verschJusselten Daten in dem Iden- 
tifikationsmedium und/oder eine Einrichtung zum 
Aufbringen der Personendaten und gegebenerifalls 
eines Fotossowieder Unterschrift des jeweiligen Sy- 5 
stembenutzers auf das Identifikationsmedium auf- 
weist 

S., System nacli Anspruch 7, dadurch gekennzeich- 
net.daBdie Einrichtung (26) Speicherung der Daten 
eIne Einrichtung zum Uberziehen des Identifikati- 
onsmediums mit einer Laminatfolie aufwelst. 

9., System nach einem der vorangehenden Anspruche, 
dadurch gekennzeichnet, da3 die Identifikations- 
medien Snnart Cards (28) sind 

10,. System nacli eInem der vorangehenden Anspruclie, 
dadurch gekennzeichnet, daB in der Durchgangs- 
schleuse (10) mindestens eine Videokamera (24) 20 
vorgesehen ist, 

11. System nach eInem dervorangehenden Anspruche, 
dadurch gekennzeichnet, da8 die Einrichtung (20) 
zum automatlsierten Lesen der auf den Identifikati- 25 
onsmadien gespeictierten Daten eine Einrichtung 
zum Berechnen des identifikationsmedlumspezifi- 
schen Schlussels aus den verschlQsselten Identlfi- 
kationsmedlumdaten und Veriflkation desselben 
aufweist 30 

12., Systenn nach einem dervorangehenden Anspruclie, 
dadurch gekennzeichnet, daB die Einricthung (20) 
zum automatlsierten Lesen der auf dem Identifikati- 
onsmedium gespelcherten Daten eine Einrichtung 35 
zum Entschlussefn der verschlusserten Personen- 
daten und Veriflkation derselben aufwelst, 

13.. System nach einem dervorangehenden Anspruche, 
gekennzeichnet durch eine Einrichtung (36) zur 4o 
Erzeugung und Verteilung von Schiusselnfurdie Da- 
tenverschlusselungen und Uberwachung des Sy- 
stembetrlebes. 

14.. System nach einem dervorangehenden AnsprQche, ^ 
gekennzeichnet durch eine Emrichtung zur Ver- 
waltung und Ubenwachung Insbesondere der Le- 
bensdauer aller an Systembenutzer ausgegebener 
Identifikationsmedlen . 

50 

15,. System nach einem dervorangehenden AnsprQche, 
gekennzeichnet durch eine Einrichtung zur kryp- 
tographlschen Verschlusselung von zwischen Eln- 
richtungen des Systems und/oder zwischen aus 
dem System und extemen EInrlchtungen Qbertrage- 55 
non Daten . 

16,. Verfahren zur automatlsierten Kontrolle des Passle- 



rens einer Grenze, das diefolgenden Schritte um- 
fa3t: 

- Erfassen von Personendaten von Systembe- 

nutzern, 

- Erfassen von blometrlschen Daten der Sy- 
stembenutzer, 

- Weitergabe der Personendaten der System- 
benutzer an eine Fahndungsdatenbank und 
Vornahme einer Abfrage, ob derjeweilige Sy- 
stembenutzer auf einer Fahndungsliste steht^ 

- Speichern von Daten, die die Personendaten 
und biometrischen Daten des jeweiligen Sy- 
stembenutzers umfassen, auf einem fur jeden 
Systembenutzer vorgesehenen Identifikations- 
medium und gegebenenfalls identifikationsme- 
diumspezlfischer Daten, wenn das Ergebnis der 
Fahndungsabfrage negatlv ist, 

- Vereinzelung der einen Grenzubertrittsver- 
such unternehmenden Systembenutzer vor ei- 
ner Durchgangsschleuse mit einem Eingang 
und emem Ausgang, wobei der Eingang und der 
Ausgang in Grundstedung geschlossen sind, 

- automatisiertes Lesen der auf dem Identifika- 
tionsmedium gespelcherten Daten, 

- automatisierte Uberprufung der Echtheit des 
jeweilige n I dentif 1 kati onsmediu ms, 

- automatisiertes Oberprufen des Vorliegens ei- 
ner Manipulation der Daten auf dem jeweiligen 
I de ntif if katio nsmedi um, 

- automatisiertes Offnen des Eingangs der 
Durchgangsschleuse, wenn die Echtheit des je- 
weiligen Identlfikationsmediums und keine Ma- 
nipulation der Daten auf dem jeweiligen Identi- 
fikationsmedium festgestellt werden, 

- automatisiertes Erfassen von biometrischen 
Daten eines in die Durchgangsschleuse hinein- 
gelassenen Systembenutzers, 

- automatisiertes Vergteichen der erfaBten bio- 
metrischen Daten mit den auf dem Identifikati- 
onsmedium des hineingelassenen Systembe- 
nutzers gespelcherten biometrischen Daten, 

- automatisiertes Ausiosen eines Alarmsignals, 
wenn die erfaGten und die auf dem jeweiligen 
identifil^tionsmedium gespelcherten biometri- 
schen Daten nicht Cibereinstimmen, 

- automatisiertes Weitergeben der Personenda- 
ten an die Fahndungsdatenbank und automati- 
siertes Abfragen, ob der Systembenutzer auf ei- 
ner Fahndungsliste steht, und 

- automatisiertes 6ffnen des Ausgangs der 
Druchgangsschleuse, wenn das Ergebnis der 
Fahndungsabfrage negatlv ist, bzw, automati- 
siertes Ausldsen erne Alarmsignals, wenn das 
Ergebnis der Fahndungsabfrage positiv Ist 

Verfahren nach Anspruch 16, dadurch gekenn- 
zeichnet, daB die Personendaten derSystembenut- 
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zer durch automatisches Einlesen erfaf3t werden. 

18. Verfahren nach Anspmch 1 6 oder 1 7, dadurch ge- 
kennzeich n et, daB de r Fi n gerabdr u ck und/oder die 
Netzhautstruktur und/oder die Geslchtsmerkmaie 5 

und/oder die Stimme und/oder die Sprache eines 
jeweiligen Systembenutzers erfal^t wlrd/werden 

19,. Verfaliren nach einemderAnspruche 16 bis 18, da- 
durch gekennzeichnet, daB die erfaBten biometrl- 
schen Daten verarbeitet und In elner oder melirere 
repr&sentative(s) Datenmerl<nnai(e) umgerechnet 
werden, anhand dessen/derer eine Wiedererken- 
nufig des Systennbenutzers bei der Kontroile m6g- 
ifch ist. 15 

20,. Verfaliren nach einem der Anspruclie 1 6 bis 1 9, da- 
durch gekennzeichnet, daB die Personen- und/ 
Oder ldent]fii<atlonsmedtumdaten verschiiisselt wer- 
den und ein idenfifikationsmedium^ezlfischer 
Schlussel erzeugtwird, 

21, Verfahren nach einemderAnspruche 16bis20, da- 
durch gekennzeichnet, daB die verschlusselten 
Daten in dem Identiflkatlonsmedlum eJektrische per- 25 
sonaHsietl und/oder die Personendaten und gege- 
benenfalls ein Fotosowie Unterschriften des jewei- 
ligen Systembenutzers auf das Identifikatlonsnnedi- 
um aufgebracht werden, 

30 

22., Verfahren nach einem der Anspruche 1 6 bis 21 , da- 
durch gekennzeichnet, dafl die Identifikationsnrie" 
dion mit einer Laminatfolie uberzogen werden. 

23.. Verfahren nach einem der Ansprilche 1 6 bis 22. da- 35 
durch gekennzejchnet, daB als identifikationsme- 
dium Smart Cards venwendet werden, 

24.. Verfahren nach einem der Anspruche 1 6 bis 23, da- 
durch gekennzelchnet, dal3 die Durchgangs- 
schleuse mittels einer Videokamera uberwachtwird, 

25„ Verfaliren nach einem der AnsprQche 1 6 bis 24, da- 
durch gekennzelchnet J daB aus den verschlussel- 
ten Identiflkatlonsmediumdaten ein identifikations- 45 
mediumspezifischer Schlussel berechnet und verifi- 
ziert wird 

26,. Verfahren nach einem der Anspruche 1 6 bis 25, da- 
durch gekennzelchnet, da(3 die verschlusselten 
Personendaten entschlQsselt und veriflzlert werden 

Claims 

55 

1 ., System for automated border-crossing control, with: 
- a device (26) for recording personal data of 



system users, 

- a device (26) for recording biometric data of 
system users, 

- a device (26) for transmitting the personal data 
of system users to a wanted persons database 
(34) and inquiring whether the corresponding 
system user is on a wanted persons list, 

- a device (26) for storage of data, comprising 
the personal data and biometric data of the cor- 
responding system user, on an identification 
medium (28) provided for each system user and 
optionally data specific to the Identification me- 
dium, when the result of the wanted persons in- 
quiry fs negative, 

' a transit gate (1 0) arranged in front of a bound- 
ary (8) to control the passage of system users, 
with an entrance (12) and an exit (14), in vjh\ch 
the entrance (12) and exit (14) are closed In the 

base position, 

- a device for isolation of system users arranged 
in front of the entrance (12) of transit gate (10), 

- a device (20) for the automated reading of the 
data stored on the identification media, said de- 
vice (20) being arranged behind the isolation de- 
vice, butin front of the entrance (12) to thetransit 
gate (10), 

- a device (20) for the automated checking of 
the authenticity of the identification media, said 
device (20) being arranged in front of the en- 
trance (12) of transit gate (10), 

- a device (20) for the automated checking of 
the presence of data manipulation on the corre- 
sponding identification medium, said device (20) 
being arranged in front of the entrance (12) of 
the transit gate (10), 

- a device for the automated opening of the en- 
trance (1 2) of transit gate (1 0), when the authen- 
ticity of the corresponding identification medium 
and no data manipulation on the corresponding 
identification medium have been established, 

- a device (22) for the automated recording of 
biometric data of an admitted system user, said 
device (22) beingsituatedin the transit gate (1 0), 

- a device (22) for automated comparison of the 
recorded biometric data with the biometric data 
stored on the identification medium of the ad- 
mitted system user, 

- a device for the automated triggering of an 

alarm signal, when the recorded biometric data 
andthebiometricdatastoredonthecorrespond- 
ing identification medium do not correspond, 
* a device for the automated transmitting of per- 
sonal data to the wanted persons database (34) 
and automated Inquiring as to whether the sys- 
tem user is on a wanted persons list, and 

- a device for the automated opening of the exit 
of the transit gate (10) and pennitttng border- 
crossing of the system user, when the result of 
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the wanted persons inquity is negative, and for 
the automated triggering of an alarm signal, 
when the result of the wanted persons inquiry is 
positive. 

2,. System according to Claim 1 , characterized in that 
the device {26) for recording the personal data of 
system users has a device for automatk; entry of 
personal data 

3,. System according to Claim 1 or 2, characterized in 
that the device (22, 26) for recording biometric data 
has a device for recording a fingerprint and/or retinal 
sinjcture and/or facial features and/or voice and/or 
language of a con-espondlng system user. 

4, System according to one of Claims 1 to 3, charac- 
terized by a device for automated processing of re- 
corded biometric data and automated conversion to 
one or more representative data features, by means 
of which automated recognition of the system user 
is possible during control, 

5., System according to one of the preceding claims, 
characterized in that the device (26) for storage of 
data has a device for encryption of the personal 
and/or identification medium data and for generation 
of an identification medium-specific code 

6., System according to Claim 5, characterized In that 
the encryption device Is a locally provided security 

module or is situated in a background system that is 
connected via an online data connection 

7., System according to Claim 5 or 6, characterized in 
that the device (26) for storage of data has a device 
for electrical personalization of the encrypted data 
in the identification medium and/or a device for ap- 
plication of personal data and optionally a photo, as 
well as signature of the corresponding system user, 
to the identification medium. 

8., System according to Claim 7, characterized in that 
the device (26) for storage of data has a device for 
coating the identification medium with a laminate 
film 

9.. System according to one of the preceding claims, 
characterized in that the identification media are 

Smart Cards (28). 

10„ System according to one of the preceding claims, 
characterized in that at least one video camera (24) 
Is provided in the transit gate (1 0) 

11 . System according to one of the preceding claims, 
characterized in that the device (20) for the auto- 
mated reading of the data stored in the identification 



media has a device for calculating the identification 
medium-specific code from the encrypted identifica- 
tion medium dais and verification of It 

s 12.. System according to one of the preceding claims, 
characterized in that the device (20) for the auto- 
mated reading of the data stored on the identification 
medium has a device for decoding the encrypted per- 
sonal data and verification of It 

10 

13.. System according to one of the preceding claims, 
characterised by a device (36) for generation and 
distribution of codes forthe data encryption and mon- 
itoring of system operations, 

15 

14.. System according to one of the preceding claims, 
characterized by a device for management and 

monitoring, especially of the lifetime of all Identifica- 
tion media issued to system users 

20 

15.. System according to one of the preceding claims, 
characterized by a device for encryption of data 
transferred between devices of the system and/or 
between the system and external devices,. 

25 

16., Method fortheautomatedcontrolof border-crossing, 
comprising the following steps: 

- recording of personal data of system users, 
30 - recording of biometric data of system users, 

- transfer of personal data of system users to a 
wanted persons database and performance of 
an inquiry, whether the corresponding system 
user is on a wanted persons list, 

35 - storage of data, comprising the personal data 

and biometric data of the corresponding system 
userj on an Identification medium provided for 
each system user and optionally identification 
medium-specific data, if the result of the wanted 
persons inquiry is negativej 

- isolation of system users underfeklng a border- 
crossing attempt in front of a transit gate with an 
entrance and an exit, in which the entrance and 
exit are closed in the base state, 

^5 - automated reading of data stored in the iden- 

tification medium, 

- automated checking of the authenticity of the 
corresponding Identification medium, 

- automated checking of the presence of data 
so manipulation on the corresponding identification 

medium, 

- automated opening of the entrance of the tran- 
sit gate when the authenticity of the correspond- 
ing identification medium and no data manipu- 

55 iation on the con'esponding identification medi- 

um are established, 

-automated recording of biometric data of a sys- 
tem user admitted to the transit gate, 
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- automated comparison of the recorded biomet- 
ric data with the biometric data stored on the 
identification medium of the admitted system us- 
er, 

- automated triggering of an alarm signal, when 
the recorded biometric data and the data stored 
on the corresponding identification medium do 
not correspond^ 

-automatedtransmissron of personal data to the 
wanted persons database and automated in- 
quiry whether the system user is on a wanted 
persons list, and 

■ automated opening of the exit of the transit 
gate, when the result of the wanted persons in- 
quiry Is negative, or automated triggering of an 
alanm signal, when the result of the wanted per- 
sons inquiry is positive 

17, Method according to Claim 16, characterized in 
that the personal data of system users are recorded 
by automatic entry 

18., Method accordingto Claim 1 6 or 1 7, characterized 
in that the fingerprint and/or retinal structure and/or 
facial features and/or voice and/or language of a cor- 
responding systerri user is/are recorded, 

19.. IVIethod according to one of Claims 16 to 18, char- 
acterized in that the recorded biometric data are 
processed and converted to one or more represent- 
ative data features, by means of which recognition 
of the system user Is possible during control, 

20., iVIethod according to one of Claims 16 to 19, char- 
acterized in that the personal and/or identification 
medium data are encrypted and an identification me- 
dium-speci^c code is gdnerated. 

21.. IVIethod according to one of Claims 16 to 20, char- 
acterized In that the encrypted data are electrically 
personalized in the Identification medium and/or the 
personal data and optionally a photo, as well as slg- 
natures of the corresponding system user, are ap- 
plied to the identification medium. 

22,. Method according to one of Claims 1 6 to 21 , char- 
acterized in that the identification media are coated 
with a laminate film. 

23,. Method according to one of Claims 1 6 to 22, char- 
acterized In that Smart Cards are used as identifi- 
cation medium. 

24,. Method according to one of Claims 16 to 23, char- 
acterized In that the transit gate is monitored by 
means of a video camera.. 

25,. Method according to one of Claims 1 6 to 24, char- 



acterized in that an identification medium-specific 
code is calculated and verified from the encrypted 
identification medium data. 

5 26., Method according to one of Claims 16 to 25, char- 
acterized in that the encrypted personal data are 
decoded and verified. 



1 ,, Systeme de controleautomatique du passage d'une 
frontlere avec : 

- un equjpement (26) d'enregistrement des don- 
nees personneiles d'utilisateurs du systeme, 

- un ^quipement (26) d'enregistrement des don- 
nees biometriques des utilisateurs du systeme, 

- un equipement (26) de transmission des don- 
n^es personneiles des utilisateurs du systeme 
vers une banque de donnees de recherche (34) 
et interrogation pour savoir si Putllisateur pre- 
sent du systfeme se trouve sur une llste de re- 
cherche, 

- un equipement (26) de memorisation de don- 
nees englobant les donnees personneiles et les 
donnees biometriques de rutilisateur present du 
systeme, sur un moyen d'identrflcation (28) pre- 
vu pour chaque utilisateur du systeme et le cas 
echeant des donnees speclfiques au moyen 
d'ldentlflcatlon, lorsque le r^sultat de la deman- 
de de recherche est negatit 

- un sas de transit (1 0) dispose avant une fron- 
tiere (8) pour reguler le transit des utilisateurs 
du systeme avec une entree (12) et une sortie 
(14), I'entree (12) et la sortie (14) etantfemiees 
en position normale, 

- un equipement dispose avant Tentree (12) du 
sas de transit (1 0) pour isoler les utilisateurs du 
systeme, 

- un equipement (20) dispose derriere I'equipe- 
ment d'isolement mais avant I'entree (1 2) du sas 
de transit (10) pour la lecture automatique des 
donnees memorisees sur le moyen d'ldentifica- 
tion, 

- un equipement (20) dispose avant I'entree (1 2) 
du sas de transit (10) pour la verification auto- 
matique de Tauthenticite des moyens d'identifl- 

cation, 

- un equipement (20) dispose avant Tentree (1 2) 
du sas de transit (10) pour la verification auto- 
matique de I'existence d'une manipulation des 
donnees sur le present moyen d'identification, 

- un equipement pour I'ouverture automatique 
de I'entree (12) du sas de transit (10) lorsque 
Pauthentlcite des moyens d'identification pre- 
se nts a ete constatee et qu'aucune m anipu latio n 
des donnees sur le present moyen dldentifica- 
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tion n'a ete constatee, 

- un equipement (22) dispose dans le sas de 
transit (10) pour I'enregistrement automatique 
de donnees biometnques un utilisateur du sys- 
teme qu'on aura laiss§ p6netrer, 

- un equipement (22) pourlacomparaison auto- 
matique des donnees blometriques enregis- 
trees avec les donnees blometriques memorl- 
sees sur le moyen d'ldentification de I'utilisateur 
du systems qu'on aura laisse penetrer, 

- un equipement pour le d6clenchement auto- 
matique d'un signal d'alamie lorsque les don- 
nees blometriques enreglstrees ne concordent 
pas avec les donnees blometriques m^morl- 
sees sur le moyen d'Identification present, 

- un equipement pour la transmission automati- 
que des donnees personnelies vers la banque 
de donnees de recherche (34) et pour Tinterro- 
gation automatique poursavoirsi rutilisateur du 
systems se trouvesur une lists de recherche, et 

- un equipement pour I'ouverture automatique 
de la sortie du sas de transit (10) et pour per- 
mettre a Tutilisateur du systeme de passer la 
frontier© lorsque le resultatde I'interrogation de 
la recherche est negatif, et pour le declenche- 
ment automatique d'un signal d'alarme lorsque 
le resultat de I'interrogation de la recherche est 
positrf. 

2. Systeme selon ia revendication 1, caracterlse en 
ce que I'^qulpement (26) d'enregistrement des don- 
nees personnelies d'utilisateurs du systeme com- 
porteun equipement pour la lecture automatique des 
donnees personnelies 

3., Systeme selon la revendication 1 ou 2, caracterlse 
en ce que I'equipement (22, 26) d'enregistrement 
des donnees blometriques comporte un equipement 
pour Tenregistrement d'une empreinte digitale eJ/ou 
de la structure de la retine et/ou des caracteristiques 
du visage et/ou de la voix et/ou de la langue d'un 
utilisateur present, 

4., Systeme selon une des revendications 1 a 3, carac- 
terlse par un ^quipementdetraitementautomatique 
des donnees biometriques enreglstrees et conver- 
sion automatique en une ou plusieurs donnee(s) ca- 
racteristique(s) repr6sentaUve(s), pennettant une 
reconnaissance automatique de I'utiiisateur du sys- 
teme lors d'un controls 

5. Systeme selon une des revendlcations precedentes, 
caracterlse en ce que I'equipement (26) pour la 
memorisation de donnees comporte un equipement 
pour Tencodage des donnees personnelies et/ou 
des donnees du moyen d'Identification et pour la ge- 
neration d'une cle sp^cifique du moyen dldentiflca- 
tion. 



6., Systeme selon la revendication 5, caracterlse en 
ce que I'equipement pour I'encodage est un module 
de securite prevu en local ou bien setrouve dans un 
systeme a Tarrlere-plan relie par une liaison de don- 
5 nees en ligne. 

7. Systeme selon la revendication 5 ou 6, 
caraoterise en ce que Tequipement (26) pour la 
memorisation des donnees possede un equipement 

^0 pour la personnalisation eiectrique des donnees en- 
codees sur le moyen d'Identification et/ou un equi- 
pement pour rintroduction des donnees personnel- 
ies et lecas echeant une photo ainsi que la signature 
de rutilisateur present du systeme sur le moyen 

15 d'Identification. 

8. Systeme selon la revendication 7, caracterlse en 

ce que Tequipement (26) pour la memorisation des 
donnees possede un equipement pour la couverture 
20 du moyen d'Identification avec une feuHle lamlnee. 

9. Systemeselon unedesrevendicationspr6c6dentes, 
caracterlse en ce que [es moyens d'identification 
sent des cartes a puces (28), 

25 

10,. Systemeselon une des revendlcations p recede ntes, 
caracterlse en ce qu'au moins une camera video 
(24) est prevue dans le sas de transit (1 0) 

30 11,. Systeme selon une des revendlcations precedentes, 
caracterlse en ce que I'equipement (20) pour ia 

lecture automatique des donnees memorisees sur 
les moyens d'identification compor!e un equipement 
pour le caicul de la cle specrfique du moyen d'iden- 
35 tlflcatlon a partir des donnees encodees du moyen 
d'Identification et la verification de celle-ci. 

1 2.. Systeme selon une des revendlcations precedentes, 
caracterlse en ce que I'equipement (20) pour la 
"^0 lecture automatique des donnees memorisees sur 
le moyen d'identification comporte un equipement 
pour le dScodage des donnees personnelies enco- 
dees et la verification de celles-ci 

45 13., Systeme selon une des revendlcations precedentes, 
caracterlse par un equipement (36) pour la gene- 
ration et la distribution de cles pour les encodages 
des donnees et la surveillance du fonctionnement 
du systeme. 

50 

1 4. Systeme selon une des revendlcations precedentes, 
caracterlse par un equipement pour la gestlon et 
la sun/elllance notamment de la duree de vie de tous 
moyens d'identification fournis k des utilisateurs du 
55 systeme, 

1 6., Systeme selon une des revendlcations precedentes, 
caracterlse par un equipement pour I'encodage 
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cfyptographique de donnees transmlses entre des 
equlpements du systeme et/ou entre des eqiiipe- 
ments du systeme et d9s equlpements externes. 

16,. Proc6d6 de controle automatique du passage d'une 
fronti^ne comportant les st^es sulvantes : 

- enregistrement des donnees personnelles 
d'utilisateurs du systeme, 

- enregistrement des donnees biometriques des 
utilisateurs du systeme, 

- transmission des donnees personnelles des 
utilisateurs dusysteme vers unebanquede don- 
nees de recherche et entreprendre Tinterroga- 
tion pour savoir si I'utilisateur present du syste- 
me se trouve sur une liste de reclierche, 

- memorisation de donnees englobant les don- 
nees personnelles et les donnees biometriqijes 
de I'utilisateur present du systeme, sur m 
moyen d' identification prevu pour chaque utili- 
sateur du systeme et le cas echeant des don- 
nees specif iques au moyen d'identification, lors- 
que !e resultat de la demande de recherche est 
negatif, 

- isolation des utilisateurs du systeme entrepre- 
nant un passage de frontiere devant un sas de 
transit avec une entree et une sortie, I'entree et 
la sortie ^tant femn^es en position nomnaie, 

- lecture automatique des donnees memorisees 
sur le moyen d'identification, 

- verification autcwnatique de TauthenticltS des 
moyens d'identifjcatjon, 

- verification automatique de I'existence d'une 
mar^ipulation des donnees sur le present moyen 

^identification, 

- ouverture automatique de I'entree du sas de 
transit lorsque Tauthenticite du moyen d'identi- 
fication present a ete constatee et qu'aucune 
manipulation des donnees sur le present moyen 
d'identification n'a ete constatee, 

- enregistrement automatique de donnees bio- 
metriques d'un utillsateur du systeme qu'on 
aura laisse penetrer, 

- comparaison automatique des donnees bio- 
metriques enregjstrees avec les donnees bio- 
metriques memorisees sur le moyen dldentifi- 
cation de Tutilisateur dusysteme qu'on aura lais- 
se penetrer, 

- declenchement automatique d'un signal d'alar- 
me lorsque les donnees biometriques enregis- 
trees ne concordent pas avec les donnees bio- 
metriques memorisees sur le moyen d'identifi- 
cation present, 

- transmission automatique des donnees per- 
sonnelles vers la banque de donnees de recher- 
che et interrogation automatique pour savoir si 
I'utilisateur du systeme se trouve sur une liste 
de recherche, et 



- ouverture automatique de la sortie du sas de 
transit lorsque le resultat de 1' interrogation de la 
recherche est nagatif, respectivement declen- 
chement automatique d'un signal d'alarme lors- 
5 que le resultat de Finterrogation de la recherche 

est posltlf 

17. Precede selon la revendication 16, caracterise en 
ce que les donnees personnelles des utilisateurs du 
^0 systeme sont enregistr^es par lecture automatique. 

18„ Precede selon la revendication 16 ou 17, caracte- 
rise en ce que I'empreinte digitale et/ou la structure 
de la ratine et/ou les caracteristiques du visage et/ou 
?5 la voix et/ou la langue d'un utillsateur present est/ 
sontenregistre(s). 

19,. Precede selon une des revendications 16 a 18, ca- 
racterise en ce que les donnees biometriques en- 
20 registries sont traitees et convertles en une ou plu- 
sieurs donnee(s) caracteristique(s) representative 
(s), permettant une reconnaissance automatique de 
I'utilisateur du systeme Ions d'un controle 

25 20. Procede selon une des revendications 16 a 19, ca- 
racterise en ceque les donnees personnelles et/ou 
les donnees du moyen d' identification sont enco- 
d6es et qu'une cle specifique du moyen d'identifica- 
tion est gSn^rie 

30 

21. Systeme selon une des revendications 1 6 & 20^ ca- 
racterise en ce que ies donnees encodees sont 
electriquement personnalisees dans le moyen 
d'ldentification et/ou les donnees personnelles et le 
35 cas echeant une photo ainsi que les signatures de 
i'utilisateurpresent du systeme sont introdultes dans 
le moyen d'ldentification. 

22., Procede selon une des revendications 16 a 21, ca- 
40 racterise en ce que le moyen d'identification est 
revetu d'une feuille laminee, 

23., Proced6 selon une des revendications 16 a 22, ca- 
racterise en ce que des cartes a puces sont utili- 
sees comme moyen d'identificatlon . 

24.. Procede selon une des revendications 16 ^ 23, ca- 
racterise en ce que le sas de transit est survelllS 
par une camera vid6o 

50 

25- Proc6d6 selon une des revendications 1 6 a 24, ca- 
racterise en ce qu'on calcule et qu'on verifie une 
cle specifique du moyen d'ldentification a partir des 
donnas encodees du moyen didentlfication, 

55 

26o Procede selon une des revendications 16 a 25, ca- 
racterise en ce que les donnees personnelles en- 
codees sont decodees et verifiees 
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